One Gadget

学习并练习 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

检查订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

基本信息

One Gadget 允许获取一个 shell，而不是使用 system 和 "/bin/sh"。One Gadget 将在 libc 库中找到一种方法来使用一个地址获取 shell (execve("/bin/sh"))。然而，通常会有一些限制条件，最常见且易于避免的是 [rsp+0x30] == NULL。由于您控制 RSP 中的值，只需发送更多的 NULL 值即可避免这个限制条件。

ONE_GADGET = libc.address + 0x4526a
rop2 = base + p64(ONE_GADGET) + "\x00"*100

要找到One Gadget指示的地址，您需要添加libc加载的基地址。

One Gadget对于任意写入执行技术非常有帮助，可能会简化ROP链，因为您只需要调用一个地址（并满足要求）。

ARM64

github存储库提到该工具支持ARM64，但在Kali 2023.3的libc中运行时找不到任何gadget。

Angry Gadget

来自github存储库：受OneGadget启发，这个工具是用Python编写的，并使用angr来测试执行execve('/bin/sh', NULL, NULL)的gadget的约束条件。如果您已经尝试过One Gadget中的所有gadget，Angry Gadget提供了更多带有复杂约束条件的gadget供尝试！

pip install angry_gadget

angry_gadget.py examples/libc6_2.23-0ubuntu10_amd64.so

支持 HackTricks

检查订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

PreviousLeaking libc - template NextRet2lib + Printf leak - arm64

Last updated 4 months ago